Bách Khoa Antivirus-Đặc Điểm Các Virus part 26

Chia sẻ: Qweqwdasd Dwqdqd | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

60
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'bách khoa antivirus-đặc điểm các virus part 26', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bách Khoa Antivirus-Đặc Điểm Các Virus part 26

35. Bkav2004 - Phát hành lần thứ 2 ngày 17/11/2008, cập nhật Jangan lupain aku ya ! G4eY5F, SkypeN, BrontokSD, FakeExpI, Itdead, MsFoxR... Thanks," Cách phòng tránh: Malware cập nhật mới nhất:  Không nên vào các trang web cung cấp các phần mềm  Tên malware: W32.BrontokSD.Worm crack, hack, các trang web đen, độc hại  Thuộc họ: W32.Brontok.Worm  Không nên mở file đính kèm không rõ nguồn gốc, đặc  Loại: Worm biệt là các file có đuôi .exe .com .pif và .bat  Xuất xứ: Nước ngoài Mô tả kỹ thuật:  Ngày phát hiện mẫu: 17/11/2008  Tạo ra các bản sao của nó:  Kích thước: 147 Kb o %Sysdir%\cmd-brontok.exe  Mức độ phá hoại: Trung bình o %Windir%\Shellnew\[RandomName] Nguy cơ: o %Documents%\[UserName]\Local Settings\Application  Làm giảm mức độ an ninh của hệ thống. Data\csrss.exe Hiện tượng: o %Documents%\[UserName]\Local Settings\Application  Sửa registry. Data\lsass.exe  Tắt các chương trình AntiVirus và các dịch vụ hệ thống o %Documents%\[UserName]\Local Settings\Application của Windows Data\br7911on.exe  Không vào được một vài trang web bảo mật và o %Documents%\[UserName]\Local Settings\Application antivirus. Data\services.exe  Mất menu FoderOptions. o %Documents%\[UserName]\Local Settings\Application Cách thức lây nhiễm: Data\winlogon.exe  Phát tán qua trang Web o %Documents%\[UserName]\Local Settings\Application  Phát tán qua email : Với Subject là : "My Best Photo" Data\inetinfo.exe Hoặc "Fotoku yg Paling Cantik"  Ghi giá trị: Kèm theo nội dung : o "Bron-Spizaetus" vào key "Hi, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run I want to share my photo with you. để chạy virus lúc hệ thống khởi động. Wishing you all the best. o "Tok-Cirrhatus-3444" vào key Regards," HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Hoặc : "Hi, để chạy virus lúc hệ thống khởi động. Aku lg iseng aja pengen kirim foto ke kamu. 1
 Sửa file hosts ngăn không cho người dùng truy cập vào  Thuộc họ: W32.LogoOne.PE một vài trang web bảo mật.  Loại: PE  Sửa key không cho người dùng sử dụng một vài tiện  Xuất xứ: Trung Quốc ích của windows và làm mất menu FolderOptions.  Ngày phát hiện mẫu: 19/11/2008  Tắt các process và các cửa sổ có chứa 1 trong các xâu :  Kích thước: 61Kb peid , task view, telanjang, bugil, cewe, naked, porn, sex,  Mức độ phá hoại: Cao alwil, wintask, Nguy cơ: folder option,worm, trojan, avira, windows script,  Ăn cắp thông tin cá nhân. commander, pc-media, killer, ertanto,  Lây file anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend,  Làm giảm mức độ bảo mật của hệ thống. cillin, Hiện tượng: mcaf, avast, bitdef, machine, movzx, kill, washer, remove,  Sửa registry. wscript, diary,  Dừng các chương trình diệt virus untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh,  Làm chậm hệ thống. Anti, mspatch,  Mất icon của các file .exe siti, virus, services.com, ctfmon, nopdb, opscan, vptray, Cách thức lây nhiễm: update, lexplorer, iexplorer,  Phát tán qua trang web, phần mềm miễn phí. nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray,  Phát tán qua các tài nguyên chia sẻ mạng nội bộ riyani, xpshare, syslove, Cách phòng tránh: tskmgr, ccapps, ash, avg, poproxy, mcv  Không nên vào các trang web cung cấp các phần mềm  Tìm các địa chỉ mail trong máy, đồng thời gửi mail có crack, hack, các trang web đen, độc hại đính kèm virus tới các địa chỉ vừa tìm được.  Không nên mở file đính kèm không rõ nguồn gốc, đặc Chuyên viên phân tích : Nguyễn Quốc Nhân biệt là các file có đuôi .exe .com .pif và .bat  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. 36. Bkav2009 (20/11/2008) cập nhật lần thứ 1: LogoOneKA, Mô tả kỹ thuật: MegabyA...  Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe Malware cập nhật mới nhất: vào key  Tên malware: W32.LogoOneKA.PE 2
HKLM\Software\Microsoft\Windows\CurrentVersion\Run để • system chạy virus mỗi khi windows được khởi động • System Volume Information  Kiểm tra đã tồn tại key • system32 [HKLM\SOFTWARE\Soft\DownloadWWW] • windows với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây • Windows Media Player nhiễm chưa. • Windows NT  Copy chính nó vào • WindowsUpdate %Windir%\ Logo1_.exe • winnt %Windir%\uninstall\rundl132.exe  Kill các services và chương trình diệt virus:  Drop ra file: %WinDir%\RichDll.dll • "Kingsoft AntiVirus Service"  Ghi ngày lây nhiễm vào file C:\_desktop.ini • EGHOST.EXE  Lây file bằng cách ghi code virus vào trước file gốc. • IPARMOR.EXE  Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y. • KAVPFW.EXE  Lây qua mạng nội bộ bằng cách copy và lây vào các • MAILMON.EXE file exe trong các thư mục shared • mcshield.exe  Không lây những file đường dẫn có chứa: • RavMon.exe • \Program Files\ • RavMonClass • Common Files • Ravmond.EXE • ComPlus Applications • regsvc.exe • Documents and Settings Chuyên viên phân tích : Nguyễn Công Cường • InstallShield Installation Information Một số malware đáng chú ý cập nhật cùng ngày: • Internet Explorer W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit, • Messenger W32.FialaKA.Worm, W32.MegabyA.Worm, • Microsoft Frontpage W32.VtLightIA.PE, W32.KxvoET.Worm, • Microsoft Office • Movie Maker W32.WinbetTT.Trojan, W32.AlureonB.Trojan, • MSN W32.ArfuBot.Trojan, W32.CimusCD.Rootkit, • MSN Gaming Zone W32.MSFoxCB.Worm... • NetMeeting • Outlook Express • Recycled 3
37. Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop, Vào key HKLM\...\CurrentVersion\Run để virus được kích hoạt MixaFQ... mỗi khi Windows khởi động  Copy bản thân thành các file : Malware cập nhật mới nhất: %SysDir%\systemio.exe  Tên malware: W32.MixaFQ.Worm %WinDir%\Mixa.exe  Thuộc họ: W32Mixa.Worm  Liên tục check các process, nếu thấy process có chứa 1  Loại: Worm trong các xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả  Xuất xứ: Việt Nam các ứng dụng và LogOff máy tính.  Ngày phát hiện mẫu: 20/11/2008  Copy bản thân thành file có tên "Mixa_I.exe" kèm theo  Kích thước: 3608Kb file autorun.inf vào tất cả các ổ đĩa.  Mức độ phá hoại: Trung bình  Liên tục ghi key làm người dùng không hiện được các file Nguy cơ: ẩn và file hệ thống.  Làm giảm mức độ an ninh của hệ thống. Chuyên viên phân tích : Nguyễn Công Cường Hiện tượng: Một số malware đáng chú ý cập nhật cùng ngày:  Sửa registry. W32.ConthinA.Worm, W32.FialaKC.Worm,  Bị logoff máy tính khi sử dụng 1 vài tiện ích của W32.HtmInfectB.Trojan, W32.Suchop.PE, windows như: TaskMgr, RegistryTool,... W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm,  Không hiển thị được file ẩn và file hệ thống. Cách thức lây nhiễm: W32.OngameFS.Trojan, W32.RsnetJZ.Trojan,  Phát tán qua trang web. W32.Lin32.Trojan, W32.Sobicyt.Adware,  Tự động lây nhiễm vào USB. W32.Soxpeca.Adware, Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại 38. Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008, cập nhật  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. DashferKA, VtLightKA, CkvoHGV, ResycleB, Cmhot... Mô tả kỹ thuật: Malware cập nhật mới nhất:  Ghi giá trị  Tên malware: W32. DashferKA.PE "Userinit " = %SysDir%\systemio.exe  Thuộc họ: W32.Dashfer.PE vào key HKLM\...\CurrentVersion\Winlogon\  Loại: PE và Virus=%WinDir%\Mixa.exe 4
 Xuất xứ: Trung Quốc  Copy bản thân thành file có tên "lsass.exe" vào thư mục  Ngày phát hiện mẫu: 21/11/2008 %SysDir%\Com, và ~.exe vào thư mục Startup  Kích thước: 165Kb để virus được thực thi khi khởi đông hệ thống.  Mức độ phá hoại: Cao  Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 Nguy cơ: máy.  Làm giảm mức độ an ninh của hệ thống.  Dump ra các file : Hiện tượng: %SysDir%\Com\smss.exe  Sửa registry. %SysDir%\Com\netcfg.dll  Không vào được chế độ safe mode của Windows. %SysDir%\Com\netcfg.000  Xuất hiện popup các trang web tiếng Trung Quốc. %SysDir%\Drivers\Alg.exe  Mất checkbox để hiển thị các file hệ thống.  Sửa key làm mất checkbox để hiển thị các file hệ thống. Cách thức lây nhiễm:  Copy bản thân thành file có tên : "pagefile.pif" kèm theo  Phát tán qua trang web. file autorun.inf vào tất cả các ổ đĩa.  Tự động lây nhiễm qua USB.  Tắt các process có chứa một trong các xâu sau : rav, avp,  Lây qua các file thực thi. twister, kv, watch, kissvc, scan, guard. Cách phòng tránh:  Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml,  Không nên vào các trang web cung cấp các phần mềm htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file crack, hack, các trang web đen, độc hại nén .rar) đoạn script :  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.  Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ Mô tả kỹ thuật: đĩa hệ thống.  Xóa các key : Chuyên viên phân tích : Nguyễn Ngọc Dũng HKLM\...\Control\SafeBoot\Minimal\{4D36E967-E325- 11CE-BFC1-08002BE10318} HKLM\...\Control\SafeBoot\Network\{4D36E967-E325- 11CE-BFC1-08002BE10318} làm cho máy tính không khởi động được trong chế độ safemode. HKLM\Software\Microsoft\Windows\CurrentVersion\Run 5